pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

はてなダイヤリー時代はカテゴリ分けが適当だったのですが、これはそのうち直します。


ASIX のチップセットを用いた USB-LAN アダプタを macOS Big Sur で利用する方法を調べたら危険すぎるのでとてもおすすめできない件について

手持ちの USB-LAN アダプタのうち、ASIX AX88179 が用いられている製品は、macOS Big Sur に正式対応しておらず、Beta のドライバが提供されている状況です。

しかし、このドライバを利用する方法はあまりにも危険すぎると感じるので、普段使いの Mac に導入することはリスクが高すぎると感じます。

ドライバ自体はここから入手可能なので、リスクを理解して試したい方は自己責任でどうぞ。 https://www.asix.com.tw/en/support/download

このドライバの問題点は、システム整合性保護(System Integrity Protection: SIP)を無効化したままで利用しなければならない点にあります。

SIP を無効化する操作は、reFind のようなブートローダーのインストールでも必要な操作の一つですが、reFind の場合はインストールが完了したら SIP を再度有効化しても問題なく動作します。

しかし ASIX のドライバは SIP を無効化した状態で利用しつづける必要があります。SIP が有効の状態では、ストレージ上のシステムファイルを root 権限でも書き換えられないので、さまざまな脅威に対して効果的と考えられます。しかし SIP を無効化した状態で利用しつづけなければならないということは、そういうリスクを抱えた状態で利用しなければならないことを意味します。

このことを理解して利用する分には自己責任の範囲ですが、利用に伴うリスクを説明せずに安易に利用方法を記事化して案内するのは危険過ぎます。

AWS で EC2 の開始、停止、再起動を行うポリシーを書く

AWS で既存の EC2 インスタンスの一覧取得や、それらの開始、停止、終了、再起動を行うポリシーを作成してみるテスト。

RunInstances を含めていないので、新規にインスタンスを作ることはできない。また、TerminateInstances も含まないので、既存のインスタンスに対する誤操作によってインスタンスを失うこともない。

このポリシーを IAM ユーザーにアタッチすれば、そのユーザーは AWS コンソールまたは AWS CLI 経由で EC2 インスタンスを操作できる。ただし、ステータスチェックやアラームの状態、EIP に関する許可を行っていないため、これらを参照することはできない。

あらかじめインスタンスID がわかっていて、なおかつ AWS CLI だけで操作する場合は DescribeInstances の許可をする必要はない。ただしEC2 コンソールは一覧表示してから操作する形式であるから、DescribeInstances を許可しない場合は EC2 コンソールから操作できない。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:DescribeInstances",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances"
            ],
            "Resource": "arn:aws:ec2:*:<AWS Acccount ID>:instance/*"
        }
    ]
}

EC2 コンソールで、ステータスチェックやアラームの状態、EIP の割り当ての有無くらいは確認させたい場合は、ec2:DescribeInstanceStatus, ec2:DescribeAddresses, cloudwatch:DescribeAlarms も許可する。cloudwatch:GetMetricData を追加すれば、EC2 コンソールの「モニタリング」よりメトリクスを閲覧できる。単にインスタンスの操作だけを行いたい IAM ユーザーに割り当てる Policy は、だいたいこんな感じだろう。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeAddresses"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances"
            ],
            "Resource": "arn:aws:ec2:*:<AWS Acccount ID>:instance/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:DescribeAlarms",
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

ec2:DescribeSecurityGroups や ec2:DescribeVolumes も許可すれば、EC2 コンソールでセキュリティグループの設定内容を確認したり、EBS ボリュームのボリュームサイズを確認できるけれど、単なる Operator にはそこまでの許可をしなくても良さげ。Describe... は Resource "*" のような広い参照範囲になるようだから、Operator に必要な参照権限を割り当てる必要はないだろう。

ESET Cyber Security macOS Big Sur 対応版の日本語版は2021年3月23日から提供開始の模様

英語版その他からは3週間ほど遅れてのリリースとなりますが、やっとリリースされるみたいです。詳細は以下のリンク先の通り。

eset-support.canon-its.jp

この日まで待てる方は、あと数日待ちましょう。待てないかたは、自己責任で英語版を入れているか、または他のセキュリティソフトに切り替えてしまっているはず。

私も自己責任で英語版を入れているけれど、英語版についてリリースが遅れたことは、まあ仕方がない部分はあるだろうと思います。今回の macOS Big Sur は以前の macOS 10.x で利用できた kext の廃止に伴う対応が必要になったようだから、やむを得ない部分はあるだろうなあ、と考えています。ただし kext の廃止はずいぶん前からアナウンスされていたはずなので、そういう意味では ESET の新しい macOS へのキャッチアップはちょっと遅い。

OpenWrt 19.07 では IPv6 IPoE + IPv4 DS-Lite の設定が Luci からの Web UI だけで設定できるようになっている

先月にリリースされていた OpenWrt 19.07.7 をインストールするにあたり、久々にゼロから Luci の Web UI だけで基本的な環境構築を実施してみたのですが、IPoE IPv6 + DS-Lite IPv4 の環境を構築する作業は Web UI だけで行えることに気づきました。OpenWrt に ssh 接続して設定ファイルを調整するような作業は一切不要でした。

以下は Raspberry Pi 3 での環境構築手順のサマリです。これは openwrt-19.07.7-brcm2708-bcm2710-rpi-3-ext4-factory.img.gz を microSDHC に焼いた直後の初期状態からの手順です。スクリーンショット入りの手順はそのうちまとめるかも。

IPoE IPv6 接続を有効にする

一旦、LAN 側から設定を投入しつつ、WiFi を有効化して LAN 側の IP アドレス変更を実施したのち、LAN を DHCP, DHCPv6 のクライアントにするところまでの手順です。

これを実施することで IPoE IPv6 接続が有効化されます。プロバイダ側のサービスメニューが IPv6 が利用できるプランの場合は、ここまでの設定を行うと IPv6 でのインターネット接続が可能となります。

  1. PC を RasPi3 の LAN と直結し、192.168.1.1 にブラウザでアクセス
  2. WiFi を有効化する
  3. PC を LAN と WiFi で RasPi3 に接続する
  4. Interface に wan を追加する。Name = wan, Protocol = Static address, Interface = eth0 に設定する。IPv4 address = 192.168.1.1 に設定する
  5. Interface = LAN の IP アドレスを 192.168.1.1 以外のアドレスに変更する (ここでは 192.168.4.1 に設定)
  6. PC の WiFi 側の DHCP リースを更新し、ブラウザの別タブで 192.168.4.1 にアクセスする
  7. Interface = lan の Physical Settings から eth0 を除外する
  8. Interface = wan を DHCP Client に変更する
  9. Interface = wan6 を追加し、DHCPv6 client に設定する
  10. ここで一旦 OpenWrt を reboot し、RasPi3 の LAN をひかり電話ONU に差し替える
  11. reboot 後に ping6 www.google.com を試したり、www.google.com にブラウザでアクセスできることを確認する。

IPv4 DS-Lite 接続を有効にする

IPv6 接続だけでは既存の多くのインターネット側サイトに接続できないため、DS-Lite パッケージをインストールして IPv4 DS-Lite による接続を有効化します。これにより IPv6 + IPv4 のすべてのサイトへのアクセスが行えるようになります。

  1. ds-lite を追加インストールし、RasPi3 を再起動する
  2. Interface = transix を追加し、 Protocol = Dual-Stack Lite にする
  3. DS-Lite AFTR address = gw.transix.jp 、Firewall Settings = wan に設定する
  4. クライアント PC から ping 8.8.8.8 へのアクセスが通ることを確認する。また、この状態で ping6 www.google.com へのアクセスが通ることを確認する
  5. ブラウザで https://test-ipv6.com/index.html.ja_JP にアクセスし、IPv4IPv6 の両方が通ることを確認する
  6. IPv4 だけの接続が行えるサイトにブラウザでアクセスして問題がないことを確かめる。

OpenWrt 19.07.7 リリース (2021/02/18)

OpenWrt 19.07.7 が 2021/02/18 にリリースされていました。2 件の Security fix が含まれています。昨年末以降、パッチリリースの頻度がずいぶん頻繁になったなあ、という感じがあります。

リリースノートはこちら。 openwrt.org

以下は個人的なまとめ。

CVE-2020-36177

wolfSSL でキーサイズと大ジェクトサイズの処理に問題があり、本来書き込める範囲を超えたエリアに対する書き込みを行ってしまう脆弱性がある模様。

Description: RsaPad_PSS in wolfcrypt/src/rsa.c in wolfSSL before 4.6.0 has an out-of-bounds write for certain relationships between key size and digest size.

CVE-2021-3336

wolfSSL での TLS 1.3 に関する処理で DoTls13CertificateVerify で証明書の検証に関連する処理に問題があるようです。

Description: DoTls13CertificateVerify in tls13.c in wolfSSL through 4.6.0 does not cease processing for certain anomalous peer behavior (sending an ED22519, ED448, ECC, or RSA signature without the corresponding certificate).

NHK の事業収入と他の省庁や他の放送局の売上高を比較してみる

たまには IT とは違うネタで気になったことを調べてみます。

Twitter で以下のような比較を見かけたけれど、こういう比較のしかたには違和感を覚えるので、ざっくり調べてみました。

NHKの異常さが一目で分かる総予算比較
消防  168億円
海保 2,253億円
警察 3,615億円
NHK 7,548億円

警察予算について

警察予算については、令和元年度の予算についてここに記載がある。 https://www.npa.go.jp/hakusyo/r02/honbun/html/w7712000.html

警察庁予算 = 3075億円
都道府県警察予算 = 3兆4227億円

なるほど、全国規模だとそれなりの金額ですね。ちなみに、警察に関わる方の人数は、全国でおよそ29万人だそうです。 https://www.npa.go.jp/hakusyo/r02/honbun/html/w7711000.html

消防予算について

消防予算については、令和元年度の数値がここに記載されている。 https://www.fdma.go.jp/publication/hakusho/r1/chapter2/section1/47700.html

市町村の普通会計(地方公営事業会計以外の会計をいう。)における平成29年度の消防費決算額東京消防庁を含む。以下同じ。)は2兆62億円。 消防庁の令和元年度の当初予算額は、一般会計分と復興庁一括計上を合わせて194億33百万円の予算を確保している。

なるほど、全国規模だとそれなりの金額ですね。ちなみに消防に関わる方の人数は「全国726本部、職員約16万人、団員約83万人」だそうです。 https://www.soumu.go.jp/shoubou/

海上保安庁について

次のURLに令和元年度予算額と令和2年度概算要求額があります。 https://www.kaiho.mlit.go.jp/soubi-yosan/nyusatsu/koukoku/201502/shiyousyo/R2kannkeiyosanngaiyou.pdf

令和元年度予算 = 2,153億円
令和2年度概算要求額 = 2,480億円

海上保安庁は警察や消防と異なり地方自治体側の組織がないから、上記の金額が全て。これが多いのか少ないのか、という判断は難しいけれど、海上保安庁の人数はおよそ1万2千人 https://www.kaiho.mlit.go.jp/info/books/report2008/tokushu/p032_02.html

警察、消防に比べて人数が一桁少ないので、予算額が一桁小さいのは特に違和感を覚えない。

民放の売上高と比較してみる

比較の都合上、民放の決算期は2020年3月期の売上高を引用し、NHKの令和元年度予算額の事業収入を比べてみます。

テレビ局 売上高 or 事業収入
フジテレビ 6,314億円
日本テレビ 4,265億円
TBS 3,567億円
テレビ朝日 2,936億円
テレビ東京 1,451億円
NHK 7,247億円

NHKの事業収入の金額は大きいといえば大きいが、他の民放もそれなりの売上高です。また NHK は上記の予算に全国の NHK 地方局の予算も含まれているけれど、民放の場合は各地の民放局は上記とは全く別の会社ですから、NHK の予算規模について批判するとしたら、民放1社で NHK と同様に地上波2チャンネル, BS2チャンネル、ラジオ3波(R1, R2, FM)をカバーするとしたら、どの程度の規模の組織や予算規模になるか、ということを考えてみるとよいのではと感じます。今回はここまでの比較を行ってはいないけれど、ざっくり考えると NHK の予算が突出して大きすぎることはないと感じます。

ちなみに NHK の予算には国家予算からは国際放送に関する交付金35,9億円 (令和2年度政府予算案) が支出されているだけなので、基本、税金での運営は行われておらず、事業収入は基本的に受信料です。しかし放送法の規定により NHK の予算は国会承認事項なので、予算規模の約 5% の交付金しか税金は投入されていないけれど、予算は国会で審議承認されるわけですね。

https://www.nikkei.com/nkd/company/kessan/?scode=4676 https://www.nikkei.com/nkd/company/kessan/?scode=9404 https://www.nikkei.com/nkd/company/kessan/?scode=9401 https://www.nikkei.com/nkd/company/kessan/?scode=9409 https://www.nikkei.com/nkd/company/kessan/?scode=9413 https://www.nhk.or.jp/info/pr/yosan/assets/pdf/2020/youyaku.pdf https://www.nhk.or.jp/faq-corner/1nhk/01/01-01-14.html https://www.nhk.or.jp/faq-corner/1nhk/01/01-01-11.html

まとめ

Twitter で中途半端にバズっている NHK 予算と警察、消防、海上保安庁の予算の比較については、冷静に比較すると NHK の数字が極端に大きすぎるものではないように感じます。

単に数字の大小だけを比較するようなやり方は、一見わかりやすいように見えて、実は非常に恣意的な比較の可能性があるので、脊髄反射的に数字の大小だけに反応してはいけないですし、元ネタの方はこの数字の大小だけを安易にツイートするのではなく、何がどのように問題であるかをロジカルに説明すべきではないかと感じます。

また、人は往々にして自分の信じるものを検索してしまいがちです。しかし、それによって変な方向にバイアスがかかってしまうので、何事も疑ってかかる姿勢が必要だな、とも感じます。

ESET Cyber Security macOS Big Sur 対応版がリリース(ただし現時点では日本語版を除く)

以前の記事で ESET Cyber Security の macOS 対応版は3月以降のリリース予定という旨をまとめていましたが、macOS Big Sur 対応版が 6.10.600.0 として正式リリースされました。

pslabo.hatenablog.com

詳細はESET 社のこちらのページに掲載されていますが、個人向けについて 2021/02/25 付けでリリースされています。Apple M1 を搭載した Mac についても Rosetta2 でサポートされるとのこと。なお法人向けのバージョンは未リリースであり、2021年3月のリリースが予定されています。

support.eset.com

ただしこのリリースはあくまで日本語版以外の話。日本語版についてはキヤノンITソリューションズが日本総代理店のため、キヤノンITソリューションズからのリリースを待つ必要があります。ESET のダウンロードページでは日本語版が選択できませんし、そもそもブラウザの言語設定が日本語の場合はダウンロードページに飛べず、日本語のランディングページに遷移してしまいます。ブラウザの言語を英語にすればダウンロードページには遷移できますが、ダウンロードする言語種別の項目には Japanese がないため、日本語版は ESET のサイトからダウンロードできません。(以前は Japanese が選べたのですが)

現時点でキヤノンITソリューションズのサイトから入手可能なバージョンは 6.10.460.1 ですが、一部の機能を除いて macOS Big Sur でも利用可能であるけれど minor issue があります。個人的にはセキュリティ製品はできるだけ最新版を利用したいと考えていますし、minor issue に遭遇するたびに残念な気分になるため、現在利用している日本語版 6.10.460.1 をアンインストールして英語版 6.10.600.0 を一旦インストールし、日本語版 6.10.600.0 がリリースされた時点で再度入れ替えてみようと考えていますが、こういう方法はサポートを受けられない行為になる可能性が高いので、自己責任の範囲で試す内容ですね。

一般のユーザーは正当にサポートが受けられる組み合わせを用いる(CITS 経由で年間費用を支払い、CITS 経由で提供される日本語版のインストーラを用いる)べきでしょうから macOS Big Sur で ESET 製品を利用中の方はキヤノンITソリューションズからの日本語版 6.10.600.0 を待つのがよいと思います。